Kicsit utánaolvastam hogy ez hogyan működik. Kb. az történhetett, hogy amikor te az apple-nél előfizetsz akkor engedélyt adsz nekik egy úgynevezett recurring payment-re. Ez lehet fix értékre vagy változó értékre. Ezt engedélyezned kell, majd az így létrejött "engedély"-re hivatkozva ők be tudják terhelni a kártyádat, ezért tudják mondjuk havonta vonni az akármilyen bizbaz program vagy szolgáltatás után a havidíjat, mert te velük leszel kapcsolatban és nem a programot kiadó céggel. Mivel van engedélyük ezért nincs szükség külön authorizálásra minden egyes terhelésnél (kb. csoportos beszedés).
Ha ők ott valamit elbaszcsikáztak a rendszerükben akkor simán meg tudják terhelni a kártyádat, és én azt gyanítom hogy ez történhetett.
Ami itt egy nagyon komoly probléma, hogy olyan kártyák is megterhelésre kerültek, amelyek az apple pay-ből törlésre kerültek. Ha tényleg az apple a ludas, akkor ez instant bizalomvesztés amit valószínűeg egy brutális büntetés is követ majd, mert úgy kezeltek kártya adatokat hogy te az engedélyt visszavontad: a kártyát törölted az ő rendszerükből (ugye ismerjük az isDeleted flag-et a DB-ben? Na, ennek itt nincs helye).
Kevésbé veszélyes, de hasonlóan problémás az, hogy olyan előfizetések után terheltek be a kártyákat, amit az előfizetők korábban lemondtak.
Nem gondolom hogy közbülső rendszer lenne érintett, mert ha jól értem, azokon csak átmennek adatok, ők nem fognak régi kártyaadatokat tárolni, valószínűleg jogosultságuk sincs.
Ha pedig hackertámadás, akkor annak azért nincs értelme, mert miért az előfizetéseknek megfelelő értékkel történtek a terhelések, illetve mi is a támadás célja?
Mit lehet tenni?
- Nagyon meg kell gondolni hogy melyik bankkártyánkat tokenizáljuk (lásd még Revolut problémák korábban)
- Virtuális kártyát használunk lehetőség szerint egy előre feltöltött összeggel
- Limitáljuk az online terhelések napi összegét
- Mobil appot használunk hogy kapjunk értesítést ha beüt a balhé
- Olyan bankot választunk amelynek van normális védelme
Payment-hez jobban értők majd kiegészítik.